Главная Решения Прочее Эпидемия Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker) продолжается

Аутентификация



Эпидемия Win32.HLLW.Shadow.based (Net-Worm.Win32.Kido, W32.Downadup, Worm:Win32/Conficker) продолжается
25.01.2009 20:13

Крупнейшие антивирусные компании сообщают об продолжающейся эпидемии опасного полиморфного сетевого червя Win32.HLLW.Shadow.based по классификации антивируса Dr.Web, который также известен под именами Net-Worm.Win32.Kido, W32.Downadup и Worm:Win32/Conficker. В настоящий момент известно несколько основных модификаций данного вируса. Антивирусные решения при использовании актуальных вирусных баз, способны вылечить систему от всех модификаций данной вредоносной программы, а также не допустить их проникновения в систему.

Существует несколько вариантов лечения операционных систем от данного типа вирусов.

Способ от компании Dr.Web

Вирусные аналитики компании «Доктор Веб» с момента появления первого варианта данной вредоносной программы оперативно вносят в вирусную базу Dr.Web процедуры лечения системы от всех появляющихся модификаций Win32.HLLW.Shadow.based.

Специалисты компании «Доктор Веб» рекомендуют пользователям всех антивирусных программ проверить актуальность вирусных баз используемого антивируса, а также отсутствие проблем при входе на сайты www.drweb.com и http://freedrweb.com, для того, чтобы убедиться в отсутствии данной инфекции в системе. В случае если вход на указанные сайты окажется невозможным, либо актуальность вирусных баз используемого антивируса отстаёт от текущего времени на сутки или более, то это может указывать на возможность заражения системы Win32.HLLW.Shadow.based.

В этом случае необходимо:

  • установить все актуальные критические обновления на используемую систему;
  • скачать утилиту Dr.Web CureIt! (http://freedrweb.com), которая содержит в себе актуальные вирусные базы, и провести полное сканирование дисков;
  • перезагрузить компьютер;
  • обновить вирусные базы используемого антивируса.

Методика от антивирусной лаборатории Касперского

Служба технической поддержки уведомляет клиентов Лаборатории Касперского о том, что в настоящий момент возросло количество обращений по факту заражения рабочих станций и серверов под управлением операционных систем Windows штаммами сетевого червя Net-Worm.Win32.Kido.

 

Симптомы заражения в сети

  1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
  2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.

 

Краткое описание семейства Net-Worm.Win32.Kido.

  1. Создает на съемных носителях (иногда на сетевых дисках общего пользования) файл autorun.inf и файл RECYCLED\{SID}\RANDOM_NAME.vmx
  2. В системе червь хранится в виде dll-файла со случайным именем, состоящим из латинских букв, например c:\windows\system32\zorizr.dll
  3. Прописывает себя в сервисах - так же со случайным именем, состоящим из латинских букв, например knqdgsm.
  4. Пытается атаковать компьютеры сети по 445 порту, используя уязвимость в ОС Windows MS08-067
  5. Обращается к следующим сайтам (рекомендуем настроить на сетевом брандмауэре правило мониторинга обращения к ним):
    • http://www.getmyip.org
    • http://getmyip.co.uk
    • http://www.whatsmyipaddress.com
    • http://www.whatismyip.org
    • http://checkip.dyndns.org
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://schemas.xmlsoap.org/soap/envelope/
    • http://schemas.xmlsoap.org/soap/encoding/
    • http://trafficconverter.biz/4vir/antispyware/loadadv.exe
    • http://trafficconverter.biz
    • http://www.maxmind.com/download/geoip/database/GeoIP.dat.gz

Способы удаления

Удаление сетевого червя производится с помощью специальной утилиты kidokiller.exe.

ВниманиеС целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:

    • Установить патч, закрывающий уязвимость MS08-067.
    • Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому  - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр.
    • Отключить автозапуск исполняемых файлов со съемных носителей.

 

Удаление сетевого червя утилитой kidokiller.exe можно производить локально на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.


Локальное удаление
:

  1. Скачайте архив KidoKiller_v3.zip и распакуйте его в отдельную папку на зараженной машине.
  2. Запустите файл KidoKiller.exe.

    Замечание

    По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KidoKiller.exe с ключом -y.

  3. Дождитесь окончания сканирования.
  4. Выполните сканирование всего компьютера с помощью Антивируса Касперского.

Централизованное удаление

  1. Скачайте утилиту KidoKiller_v3.zip и распакуйте архив.
  2. В Консоли Kaspersky Administration Kit создайте инсталляционный пакет для приложения KidoKiller.exe. На этапе выбора дистрибутива приложения выберите вариант Создать инсталляционный пакет для приложения, указанного пользователем.

    ЗамечаниеВ поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.

  3. На основе данного инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети.

    ЗамечаниеВы можете запустить утилиту KidoKiller.exe на всех компьютерах вашей сети.


    Запустите задачу на выполнение.
  4. После того как утилита отработает, выполните сканирование каждого компьютера сети с помощью Антивируса Касперского.

Для получения дополнительной информации об утилите, запустите KidoKiller.exe с ключом -help.

 

 

Поиск

Контакты

Есть вопросы ?

Пишите: info@proflogic.ru

сейчас на сайте

Сейчас 13 гостей онлайн
вологодская реклама